小弟目前是公司的新手MIS,目前 需要管控 多台SERVER,想請教各位先進,若要控管 SERVER進出人員的話,除了可以用 登入帳號去做稽核之外,還有什麼辦法可以去管控嗎?? SQL SERVER 的管控如何去實行呢??
傳統帳號權限管控
其實做不到目前的稽核要求
記錄上並沒有詳盡到who when what
這台電腦誰在什麼時間點做了什麼事
現在都是拆成一塊一塊來看
沒辦法用OS本身的預設event log來概括所有事件
像文管系統帶使用者行為記錄稽核
MS SQL本身的稽核功能也漸漸的在加強...
因為都是拆成一塊一塊來看
你必須非常精準的描述你的環境與需求
這樣別人才有辦法推薦
目前 小弟管理多台伺服器,但是因為是新手上路,所以對於一些應該管控的權限 似乎做的不太落實。
目前,主管要我 拿出規劃書,看要如何去落實 人員登入與 使用SERVER上面的資源的管控。目前是有一台主機是跑公司的 ERP與 網站資料,所以主管很擔心 內部人進去亂搞,那目前已小弟的能力,也只能想出使用win2008的稽核機制,找出資料夾的異動時間 誰動了這個資料夾 以及基本的對資料夾做了什麼事情。因為會連線進去的 有好幾個部門(採購、會計、倉庫),目前是只開兩個遠端登入帳號 來做基本的管制,公司這邊使用A 使用者登入,倉庫那邊使用B使用者作登入。A、B 使用者的權限都為一般USER權限,一些比較敏感的資料夾就將 USER的權限做移除。 。請問大大,除了 這個 基本的稽核之外,還有什麼方法、或是軟體 可以 達成呢。
人員登出登入很好做
但是沒多大意義
因為不知道做了什麼
而ERP與網站
其實一般user運作是在特定的框架中
沒機會也沒權限去觸碰到後台
理論上不需要擔心
如果一般user有權力亂搞Server
我覺得你家的問題不光是在於有沒有稽核而已
單純資料夾部份
如果是重要資料
除了勤做備份之外
那就是只有特定人員有權限更動
亦就是要建立文管中心
文件的建立與上傳乃至於刪除
整個life cycle都有特定人負責
不是隨便使用者愛怎樣就怎樣
不然一整個兵荒馬亂的
出問題要處理會非常困難
日積月累起來
你會根本搞不清楚那堆留下來的東西到底是資料還是垃圾
填申請表單
以SQL為例
表單上必須有申請人、時間、使用目的、使用的SQL語法
審核完後開一組臨時帳號給他,用完後即刪除。
事後出了問題你才知道問題在哪,是誰下了甚麼指令導致資料庫崩潰等等.....
Rollback也是很重要的一環
其實有笨一點的方法,程式每次執行指令,就把指令存到一個DB去...
一般Server的控管,應該是看您想要作到什麼程度?有多少預算?在不花錢的情形下,如果只要記錄到誰什麼時間登入那台主機,那樓主您現在用的方式就足夠了,最多再搭配一些Log搜集及搜尋的軟體,如splunk應該就可以了(資料量不大可以用免費版)。
至於SQL Server在不花錢的情形下,有兩種選擇:(但這兩種都很吃機器效能)
1.開SQL Server Profiler程式
2.直接勾選資料庫的C2稽核功能